НОРМАТИВНІ ДОКУМЕНТИ ЩОДО ОХОРОНИ ІНФОРМАЦІЇ 4 страница

4) порушення спостереженості або керованості (тобто, порушення штатних
процедур ідентифікації і (або) аутентифікації, контролю за доступом і
контролю дій користувачів, повна або часткова втрата керованості стан-
цією);

5) несанкціоноване користування інформаційними ресурсами станції (у
т.ч., несанкціоноване користування послугами, наданими станцією і
т.ін.).

Згідно з НД ТЗІ 2.7-001-99 на стадії та реалізації проекту комплексу засо-
бів і механізмів захисту, а також на стадії оцінювання коректності реалізації
створеного КЗМЗ мають бути визначені рівні стійкості засобів та механізмів за-
хисту, які реалізують ФПЗ, що віднесені до моделі захисту.

Рівень стійкості механізму захисту позначається однією цифрою від 1 до 3.
При цьому розуміється, що

1 - позначає мінімальний (базовий) рівень стійкості механізмів захисту;

2 - позначає середній рівень стійкості механізмів захисту;

3 - позначає високий рівень стійкості механізмів захисту.

Механізм захисту, що реалізують певну ФПЗ, можуть відрізнятися між со-
бою як за ступенем ефективності реалізації цієї функції, так і за ступенем стій-
кості механізму стосовно спроб його безпосереднього злому.

У процесі оцінки коректності реалізації КЗМЗ необхідно переконатися, що
кожна ФПЗ, яка включена до моделі захисту інформаційних ресурсів АТС, реа-
лізується на практиці з рівнями стійкості механізмів захисту не меншими зазна-
чених у документації техніко-робочого проекту, також необхідно підтвердити,
що всі запроектовані механізми захисту реально діють на оцінюваній АТС від-
повідно до нормованих специфікацій рівнів стійкості механізмів захисту.

НД ТЗІ 2.5-002-99 Технічний захист інформації на програмно-керованих
АТС загального користування. Специфікації гарантій захисту. Цей НД затвер-
джено наказом ДСТСЗІ СБ України №26 від 28.05.1999 року.

Він складається із наступних розділів:

- галузь використання;

- нормативні посилання;

- визначення, позначення і скорочення;

- загальні положення;

- специфікації гарантій безпеки середовища персоналу;

- специфікації гарантій стандартизації технологічного середовища;

- специфікації гарантій забезпечення спостереженості та керованості тех-
нологічного середовища;

- специфікації гарантій якості документації.

Цей НД установлює вимоги до гарантій захисту інформації, що циркулює
на програмно-керованих АТС загального користування, а також на установчих
(відомчих, корпоративних) АТС.

Положення НД поширюється на програмно-керовані АТС, у яких зберіга-
ється та циркулює інформація, що підлягає технічному захисту.

Вимоги НД не поширюються на захист:

- міжстанційних каналів синхронізації, сигналізації та передачі абонент-
ської інформації;

- від зловмисних дій авторизованих користувачів у межах наданих їм по-
вноважень, що наносять збиток власникам інформаційних ресурсів;

- елементами АТС від екстремізму і вандалізму авторизованих користува-
чів;

- телефонної мережі від некоректного вмикання в її структури вперше за-
проваджуваних АТС або АТС, що модернізується.

Захист елементів АТС від фізичного доступу, ушкоджень, розкрадень і пі-
дмін у цьому НД розглядається в загальному вигляді і лише як необхідна обме-
жувальна міра в процесі здійснення заходів щодо ТЗІ. Передбачається, що вжи-
ті заходи щодо обмеження фізичного доступу до зони спеціального устаткуван-
ня достатні, щоб виключити можливість НСД в цю зону не уповноважених
осіб.

У цьому документі надані специфікації гарантій захисту інформаційних
ресурсів технологічних середовищ створення та експлуатації АТС.

Специфікації гарантій захисту необхідні для визначення рівнів довіри до
коректності розробок, реалізацій та експлуатації систем ТЗІ на оцінюваних
АТС.

Передбачається, що оцінка рівнів довіри виконується відповідно до базової
методики оцінки захищеності інформації на АТС, яка застосована на єдиних
(уніфікованих) для Європейського Союзу "Критеріях оцінки безпеки систем
інформаційної техніки - ITSEC".

У цьому документі специфіковані гарантії за п'ятьма аспектами забезпе-
чення захищеності інформації в технологічному середовищі створення та екс-
плуатації систем ТЗІ і АТС у цілому:

- гарантії безпеки середовища персоналу;

- гарантії стандартизації технологічного середовища;

- гарантії забезпечення спостереженості і керованості технологічного се-
редовища;

- гарантії забезпечення конфіденційності і цілісності інформаційних ре-
сурсів технологічного середовища;

- гарантії якості документації.

НД ТЗІ 2.5-003-99 Технічний захист інформації на програмно-керованих
АТС загального користування. Специфікації довірчих оцінок коректності реалі-
зації захисту. Цей НД затверджено наказом ДСТСЗІ СБ України №26 від
28.05.1999 року. Чинний від 01.07.1999 р. встановлює вимоги до довірчих оці-
нок коректності реалізації захисту інформації, яка циркулює в програмно-
керованих АТС загального користування. Призначений для замовників, розро-
бників, виготовлювачів, постачальників та експлуатаційників АТС та систем
захисту інформації в них.

Вимоги НД не поширюються на захист:

- міжстанційних каналів синхронізації, сигналізації та передачі абонент-
ської інформації;

- від зловмисних дій авторизованих користувачів у мережах надання їм
повноважень, наносять збиток власникам інформаційних ресурсів;

- елементів АТС від екстремізму і вандалізму авторизованих користува-
чів;

- телефонної мережі від некорисного вмикання в її структуру вперше
запроваджуваних АТС або АТС, що модернізуються.

Захист елементів АТС від фізичного доступу, ушкоджень, розкрадань і пі-
дмін у цьому НД розглядається в загальному вигляді і дише як необхідна об-
межувальна міра в процесі здійснення заходів щодо ТЗІ. Передбачається, що
вжиті заходи щодо обмеження фізичного доступу до зони станційного устатку-
вання достатні, щоб виключити можливість НСД в цю зону не уповноважених
осіб.

У цьому НД специфіковано шість рівнів довіри - від Е1 до Е6 включно.

Специфікації довірчих оцінок у цьому НД розміщені в шести розділах -
згідно кількості рівнів довіри.

Документ спрямований на рішення таких задач:

- розробка вимог щодо захисту інформації на АТС;

- створення захищених АТС;

- створення системи і засобів ТЗІ на АТС;

- оцінка захищеності інформації на АТС;

- оцінка ефективності систем і засобів ТЗІ на АТС.

НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних
системах від несанкціонованого доступу. Цей НД затверджено наказом ДСТСЗІ
СБ України №22 від 28.04.1999 року.

Він складається із слідуючих розділів:

- галузь використання;

- нормативні посилання;

- визначення;

- позначення і скорочення;

- побудова і структура критеріїв захищеності інформації;

- критерії конфіденційності;

- критерії цілісності;

- критерії доступності;

- критерії спостереженості;

- критерії гарантій та додатки.

Цей НД - установлює критерії оцінки захищеності інформації, оброблюва-
ної в комп'ютерних системах, від несанкціонованого доступу.

Критерії є методологічною базою для визначення вимог з захисту інфор-
мації в комп'ютерних системах від несанкціонованого доступу; створення за-
хищених комп'ютерних систем і засобів захисту від несанкціонованого досту-
пу; оцінки захищеності інформації в комп'ютерних системах і їх придатність
для обробки критичної інформації.

Критерії надають:

1. Порівняльну шкалу для оцінки надійності механізмів захисту інформації
від НСД, реалізованих в комп'ютерних системах.

2. Базу для розробки комп'ютерних систем, в яких мають бути реалізовані
функції захисту інформації.

Критерії можуть застосовуватися до всього спектра комп'ютерних систем,
вимагаючи однорідні системи, багатопроцесорні системи, мережі, об'єктно-
орієнтовані системи та ін.

Цей НД відображає сучасний стан проблем і підходів до її розв'язання.

В процесі оцінки спроможності комп'ютерної системи забезпечувати за-
хист оброблювальної інформації від НДС розглядаються вимоги двох видів:

вимоги до функцій захисту (послуг безпеки);

вимоги до гарантій.

В контексті Критеріїв комп'ютерна система розглядається як набір функ-
ціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють
протистояти певній множині загроз. Кожна послуга може включати декілька рі-
внів. Чим вище рівень послуг, тим більше повно забезпечується захист від пев-
ного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не
обов'язково являють собою точну підмножину один одного.

Функціональні критерії розбиті на чотири групи, кожна з яких описує ви-
моги до послуг, що забезпечують захист від загроз одного із чотирьох основних
типів: конфіденційність, цілісність, доступність, спостереженість.

Крім функціональних критеріїв, що дозволяють оцінити наявність послуг
безпеки в комп'ютерній системі, цей документ містить критерії, що дозволяють
оцінити коректність реалізації послуг. Критерії гарантій вимагають вимоги до
архітектури комплексу засобів захисту, середовища розробки, послідовності
розробки, випробування комплексу засобів захисту, середовища функціонуван-
ня і експлуатаційної документації.

НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні фун-
кціональні профілі захищеності оброблюваної інформації від несанкціоновано-
го доступу. Затверджено наказом ДСТСЗІ СБ України №22 від 28.04.99 р.

Цей документ має наступні розділи:

- галузь використання;

- нормативні посилання;

- визначення;

- позначення і скорочення;

- класифікація автоматизованих систем;

- функціональні профілі захищеності;

- стандартні функціональні профілі захищеності, а також додаток.

Цей документ установлює принципи класифікації автоматизованих систем
і утворення стандартних функціональних профілів захищеності оброблювальної
інформації від несанкціонованого доступу.

Мета цього НД - надання нормативно-методологічної бази для вибору і
реалізації вимог з захисту інформації в автоматизованій системі.

В цьому документі за сукупністю характеристик АС (конфігурація апарат-
них засобів обчислювальної системи і їх фізичне розміщення, кількість розмі-
щених категорій оброблюваної інформації, кількість користувачів і категорій
користувачів) виділено три ієрархічні класи АС, вимоги до функціонального
складу комплексу засобів захисту наступні:

Клас "1" - одноманітний однокористувачевий комплекс , який обробляє
інформацію однією або кількох категорій конфіденційності.

Істотні особливості:

- в кожний момент часу з комплексом може працювати тільки один кори-
стувач, хоч у загальному випадку осіб, що мають доступ до комплексу,
може бути декілька, але всі вони повинні мати однакові повноваження
(права) щодо доступу до інформації, яка обробляється;

- технічні засоби з точки зору захищеності відносяться до однієї категорії
і всі можуть використовуватись для збереження всієї інформації.

Клас "2" - локалізований багатомашинний багатокористувачевий ком-
плекс, який обробляє інформацію різних категорій конфіденційності.

Істотна відміна від попереднього класу - наявність користувачів з різними
повноваженнями до доступу і/або технічних засобів, які можуть одночасно
здійснювати обробку інформації різних категорій конфіденційності.

Клас "З" - розподілений багатомашинний багатокористувачевий комплекс,
який обробляє інформацію різних категорій конфіденційності.

Істотна відміна від попереднього класу - необхідність передачі інформації
через незахищене середовище або наявність вузлів, що реалізують різну полі-
тику безпеки.

В межах кожного класу АС класифікуються на підставі вимог до забезпе-
чення певних властивостей інформації. З точки зору безпеки інформація харак-
теризується трьома властивостями: конфіденційністю, цілісністю і доступніс-
тю. В зв'язку з цим, в кожному класі АС виділяються підкласи.

Для кожного з підкласів кожного класу вводиться деяка кількість ієрархіч-
них стандартних функціональних профілів, яка може бути різною для кожного
класу і підкласу АС. Профілі є ієрархічними в тому розумінні, що їх реалізація
забезпечує наростаючу захищеність від загроз відповідного типу (конфіденцій-
ністю, цілісністю і доступністю). Наростання ступеня захищеності може дося-
гатись як підсилення певних послуг, тобто включення до профілю більш висо-
кого рівня послуги, так і включення до профілю нових послуг.

Стандартний функціональний профіль захищеності являє собою перелік
мінімально необхідних рівнів послуг, які повинен реалізовувати комплекс засо-
бів захисту обчислювальної системи АС, щоб задовольнити певні вимоги щодо
захищеності інформації, яка обробляється в даній АС.

Стандартні функціональні профілі будуються на підставі існуючих вимог
щодо захисту певної інформації від певних загроз і відомих на сьогоднішній
день функціональних послуг, що дозволяють протистояти даним загрозам і за-
безпечувати виконання вимог, які пред'являються.

Функціональні профілі можуть використовуватись також для зрівняння
оцінки функціональної комп'ютерної системи за критеріями інших держав з
оцінкою за національними критеріями.

НД ТЗІ 2.5-006-99 Класифікація засобів копіювально-розмножувальної те-
хніки. Цей НД затверджений наказом ДСТСЗІ СБ України №34 від 26.07.99р.
Він чинний від 01.08.1999 р.

Документ складається з наступних розділів:

- галузь використання;

- нормативні посилання;

- визначення;

- позначення і скорочення;

- основні положення та додатків.

Цей НД поширюється на технічні засоби оргтехніки, що базуються на не-
поліграфічних методах оперативного копіювання (репрографії) і призначені для
копіювання та розмноження документів.

Документ призначений для визначення можливостей застосування конкре-
тних типів засобів копіювально-розмножувальної техніки (КРТ) з метою оброб-
лення інформації, що підлягає технічному захисту, а також для визначення ви-
мог з ТЗІ до створюваних засобів КРТ і сертифікації таких засобів на відповід-
ність вимогам з ТЗІ.

Об'єктом класифікації є технічні засоби оргтехніки, що грунтуються на
неполіграфічних методах оперативного копіювання та розмножування докуме-
нтації.

Ознаки, за якими проводиться класифікація засобів КРТ, визначаться за-
грозами для оброблювальної інформації, що спричиняються роботою таких за-
собів, зокрема фізичними процесами перенесення зображення - методами ко-
піювання.

Загрозою для інформації, що обробляється засобами КРТ, є її витік техніч-
ними каналами через:

- побічні електромагнітні випромінювання;

- електромагнітні наводки в мережі живлення, заземлення та інші загрози.

Електрофотографічні копіювальні апаратами аналогового типу у процесі

роботи не створюють інформативні ПЕМВН. Цифрові електрофотографічні ко-
піювальні апарати створюють інформативні ПЕМВН, що можуть бути носіями
інформації, яка обробляється.

Під час роботи таких апаратів можливий витік інформації, що обробляєть-
ся КРТ, каналами ПЕМВ і наводок у мережі живлення та заземлення, а також
інші загрози.

НД ТЗІ 2.7-001-99 Технічний захист інформації на програмно-керованих
АТС загального користування. Порядок виконання робіт. Цей документ затвер-
джений ДСТСЗІ СБ України наказом №26 від 28.05.1999 р.

Цей НД установлює вимоги до порядку виконання робіт з ТЗІ, що цирку-
лює на програмно-керованих АТС загального користування, а також на встано-
влюючих (відомчих, корпоративних) АТС і має слідуючі розділи:

- галузь використання;

- нормативні посилання;

- визначення, позначення і скорочення;

- загальні положення;

- розробка технічного завдання на створення систем ТЗІ на АТС;

- розробка та реалізація техніко-робочого проекту системи ТЗІ на АТС;

- оцінка захищеності інформації на АТС;

- порядок розробки техніко-робочого проекту системи ТЗІ на АТС;

- порядок реалізації техніко-робочого проекту системи ТЗІ на АТС;

- порядок оцінки захищеності інформаційних ресурсів АТС.

Положення НД поширюються на програмно-керовані АТС, а також на

установчі АТС, у яких циркулює інформація, що підлягає технічному захисту.

Вимоги НД не поширюються на захист:

- міжстанційних каналів синхронізації, сигналізації та передачі абонент-
ської інформації;

- елементами АТС від екстремізму і вандалізму авторизованих користува-
чів;

Інформація, яка підлягає технічному захисту, у процесі функціонування
АТС може зазнавати впливів загроз, внаслідок чого може виникнути її виток,
порушення її цілісності або порушення доступності до неї з боку авторизованих
користувачів.

Спроможність системи ТЗІ протистояти впливам загроз визначає рівень
захищеності інформаційних ресурсів АТС.

АТС оснащуються штатними і, при необхідності, додатковими (позаштат-
ними) засобами ТЗІ, які при їхньому спільному використанні утворюють ком-
плекс засобів і механізмів захисту, що забезпечує потрібний рівень захищеності
інформаційних ресурсів АТС.

Зміст і послідовність робіт з протидії загрозам та їх нейтралізації повинні
відповідати визначеним у ДСТУ 3396.0-96 і ДСТУ 3396.1-96 станам створення
системи захисту інформації.

НД ТЗІ 2.7-002-99 Методичні вказівки з використання засобів копіюваль-
но-розмножувальної техніки (КРТ), який затверджено наказом ДСТСЗІ СБ
України №34 від 26.07.1999 року.

Документ складається із слідуючих розділів:

- галузь використання;

- нормативні посилання;

- визначення;

- позначення і скорочення;

- основні положення;

- вимоги до захисту інформації;

- організація технічного захисту інформації;

- рекомендації з захисту інформації, що обробляється засобами КРТ класу
Б.

Цей НД поширюється на засоби КРТ, що використовується для обробки
інформації з обмеженим доступом.

Документ містить вимоги до захисту та рекомендації з використання копі-
ювально-розмножувальних апаратів та інших засобів КРТ з метою запобігання
витоку інформації з обмеженим доступом, що обробляється засобами КРТ ка-
налами побічних електромагнітних випромінювань і наводок.

Під час оброблення документів засобами КРТ електричні струми інформа-
тивних каналів спричиняють виникнення побічних електромагнітного випромі-
нювання, яке може бути носієм ІзОД і реєструватися технічними засобами роз-
відки за межами контрольованої зони об'єкта. Крім того, ПЕМВ може наводити
електрорушійну силу в розташованих поряд з джерелом випромінювання колах
електроживлення, заземлення, лініях зв'язку тощо. В разі виходу таких кіл і лі-
ній за межі КЗ наводки інформативних сигналів можуть реєструватися техніч-
ними засобами розвідки.

Згідно з "Класифікатором засобів КРТ" засоби поділяються на два класи:

клас А - засоби КРТ, що у процесі роботи не створюють інформативні
ПЕМВН; до цього класу віднесено світлокопіювальні, фотокопіювальні, термо-
копіювальні, мікрографічні, електрофотографічні аналогові апарати з оптичним
перенесенням зображення з оригіналу на копію;

клас Б - електрофотографічні цифрові апарати з оптично-дискретним пе-
ренесенням зображення з оригіналу на копію.

Клас Б поділяється на два підкласи:

підклас І - засоби КРТ з циклічним інформативним сигналом (цифрові
електрофотографічні апарати);

підклас II - засоби КРТ з одноразовим інформативним сигналом (різогра-

фи).

Захист інформації забезпечується, якщо задовольняється одна з таких ви-
мог:

- використовуються копіювально-розмножувальні апарати класу А;

- у разі використання копіювально-розмножувальних апаратів (КРА) кла-
су Б здійснено заходи ТЗІ, які забезпечують виконання відповідних норм
захисту згідно з НД ТЗІ.

Захист інформації здійснюється в порядку, встановленому нормативними
документами системи ТЗІ з розроблення та впровадження заходів ТЗІ на
об'єктах інформаційної діяльності з уточненнями, які визначаються особливос-
тями використання технічних засобів:

- у приміщенні не циркулює інша інформація, крім тієї, що обробляється
засобами КРТ;

- у приміщені, разом з ІзОД, що обробляється КРТ, циркулює також інша
інформація.

У разі використання КРА класу Б в процесі розроблення заходів з ТЗІ не-
обхідно враховувати вимоги НД ТЗІ. При цьому слід передбачити:

- встановлення КЗ, за межами якої виконуються норми захисту;
вилучення незадіяних (задіяних) допоміжних технічних засобів, застосу-
вання яких не обґрунтоване виробничою необхідністю, а також вилу-
чення з КЗ незадіяних (задіяних) кабелів та проводів, що виходять за
межі КЗ, на які можливе наведення ЕРС інформативними ПЕМВ;

- застосування захищених засобів КРТ;

- блокування технічних каналів витоку інформації за допомогою засобів
ТЗІ (пасивних, активних тощо).

Технічні заходи, що використовуються з метою забезпечення технічного
захисту інформації, охорона якої забезпечується державою, повинні мати дозвіл
уповноваженого органу і міститися у відповідних переліках.

Контроль ефективності захисту інформації здійснюється згідно з чинним
НД ТЗІ.

Оброблення ІзОД можливе лише після атестації комплексу ТЗІ на відпові-
дність вимогам НД ТЗІ.

НД ТЗІ 3.1 - 001 - 07 Захист інформації на об'єктах інформаційної діяль-
ності. Створення комплексу технічного захисту інформації. Перед проектні ро-
боти. Затверджений наказом Адміністрації Державної служби спеціального зв'-
язку та захисту та захисту інформації Країни № 232 від 12.12.2007 р.

Цей нормативний документ СТЗІ визначає основні положення щодо про-
ведення перед проектних робіт при створенні на об'єкті інформаційної діяльно-
сті органу державної влади, місцевого самоврядування, військового формуван-
ня, підприємства, установи та організації комплексу ТЗІ, має забезпечувати за-
хист від витоку інформації з обмеженим доступом технічними каналами.

Виконання перед проектних робіт на ОІД є першим етапом створення ком-
плексу ТЗІ, де передбачається:

- проведення обстеження на діючому ОІД;

- розроблення моделі загроз для ІзОД або доповнення до діючої моделі
загроз відповідно до положень НД системи ТЗІ;

- розроблення технічних завдань на створення комплексу ТЗІ (технічних
вимог з питань ТЗІ).

Тому програма проведення обстеження на ОІД містить:

- назву установи, що замовляє створення комплексу ТЗІ;

- назву ОІД;

- підстави для проведення обстеження;

- перелік, обсяги робіт з обстеження, терміни виконання;

- виконавці, співвиконавці обстеження.
Під час обстеження проводять аналіз:

- умов функціонування ОІД, особливостей розташування його на місце-
вості відносно меж КЗ, архітектурно-будівельних особливостей тощо;

- технічних засобів, що оброблятимуть ІзОД, та технічних засобів, які не
використовують безпосередньо для її оброблення, визначають місця їх
розташування на ОІД;

- розташування інженерних комунікацій та металоконструкцій, вияв-
ляють транзитні, незадіяні комунікації, а також такі, що виходять за
межі КЗ;

- необхідності впровадження інженерних і технічних заходів захисту від
витоку ІзОД технічними каналами.

Відповідно до НД розроблення ТЗ є обов'язковим для комплексів ТЗІ, які
будуть створюватися під час нового будівництва споруди, а також створення
комплексів ТЗІ на особливо важливих об'єктах.

У загальному випадку до складу ТЗ входять такі розділи і підрозділи:

1) Загальні відомості.

2) Вихідні данні для виконання робіт.

3) Технічні вимоги до комплексу ТЗІ:

- загальні вимоги;

- вимоги щодо стійкості до зовнішніх впливів;

- вимоги з безпеки експлуатації;

- вимоги до метрологічного забезпечення;

- вимоги щодо забезпечення охорони державної таємниці;

- вимоги щодо технічного забезпечення виконання робіт;

- вимоги щодо забезпечення безпеки при виконанні робіт.

4) Вимоги до документації

5) Етапи виконання робіт та порядок їх приймання.

При оформленні ТЗ залежно від складності, призначення та особливостей
комплексу ТЗІ дозволено уточнювати зміст розділів, підрозділів, оформляти їх
у вигляді додатків, вводити нові, виключати чи об'єднувати їх.

НД ТЗІ 3.3 - 001 - 07 Захист інформації на об'єктах інформаційної діяль-
ності. Створення комплексу технічного захисту інформації . порядок розроб-
лення та впровадження заходів із захисту інформації. Затверджений наказом
Адміністрації Державної служби спеціального зв'язку та захисту інформації
України №232 від 12.12.2007р., а чинним став від 12.12.2007р.

Цей НД системи ТЗІ визначає порядок проведення робіт підчас створення
комплексу ТЗІ на ОІД органу державної влади, місцевого самоврядування, вій-
ськового формування, підприємства, установи та організації на етапі розроб-
лення (проектування) та впровадження заходів із захисту від витоку інформації
з обмеженим доступом технічними каналами.

НД має 6 розділів: галузь використання, нормативні посилання, визначен-
ня, позначення, загальні положення, порядок розроблення та оформлення пас-
порта на комплекс ТЗІ.

Етап перший. Розроблення та впровадження заходів із захисту інформації
на ОІД є другим етапом створення комплексу ТЗІ.

На другому етапі виконавець робіт з ТЗІ відповідно до вимог затвердже-
ного технічного завдання на створення комплексу ТЗІ організовує розроблення
пояснювальної записки з ТЗІ, де зазначаєтьсь перелік, зміст, терміни виконан-
ня робіт щодо цього створення, склад документів, що розробляються піл час
його створення тощо.

Також можуть бути зазначені:

- результати розгляду варіантів заходів із захисту від витоку інформації
технічними каналами та орієнтовані техніко-економічні показники
щодо цього захисту;

- схеми комплексу ТЗІ;

- пропозиції щодо визначення співвиконавців робіт з ТЗІ на ОІД;

- обгрунтування необхідності організації розроблення проектно-
кошторисної документації щодо створення комплексу ТЗІ на ОІД;

- висновки та пропозиції.

При цьому мають бути враховані:

- пропозиції від підрозділу-заявника на створення комплексу ТЗІ щодо
організації проведення робіт з ТЗІ;

- відомості про ОІД;

- результати проведення категорування об'єктів;

- відомості про вже створені (діючі) комплекси ТЗІ;

- перспективи подальших робіт З ТЗІ; технічні і економічні можливості
установи із впровадження організаційних, інженерних і технічних за-
ходів з ТЗІ на ОІД.

Виконавець робіт з ТЗІ також організує:

- розроблення (у разі необхідності) згідно з вимогами НД проектно-
кошторисної документації;

- здійснення (у разі необхідності) відповідних будівельних, монтажно-
налагоджувальних робіт та післяопераційного технічного контролю
щодо повноти їх виконання;

- придбання (закупівлю) технічних засобів забезпечення ТЗІ та іншого
обладнання;

- впровадження на ОІД заказів з ТЗІ;

- розроблення проектів паспортів на комплекс ТЗІ.

У проектно-кошторисній документації щодо будівництва ОІД заходи з ТЗІ
відображаються за відповідними напрямами: в будівельних кресленнях, планах
території, споруд, приміщень, схемах електроживлення зв'язку, вентиляції то-
що.

Організаційні, інженерні і технічні заходи щодо створення комплексу ТЗІ
на ОІД повинні відповідати вимогам НД з питань ТЗІ та можуть містити:
архітектурно-будівельні заходи;

- заходи з пасивного захисту ІзОД (античне, акустичне, електромагнітне
екранування, засоби захисту інформації в телефонних, інших дротяних
лініях, засоби у захищеному вигляді тощо);

- заходи з активного захисту ІзОД (генератори віброакустичного, прос-
торового, акустичного та електромагнітного зашумлення, лінійного
електромагнітного зашумлення тощо).

Під час створення комплексу ТЗІ перевага має надаватися архітектурно-
будівельним заказам та заходам пасивного захисту ІзОД.

Основним експлуатаційним документом на комплекс ТЗІ є паспорт і його
складові - паспорти на приміщення де ІзОД озвучується та/або обробляється
технічними засобами.

Паспорти призначено для:

- ознайомлення з відомостями про інформацію, що підлягає захисту від
витоку технічними каналами;